Un trio de vulnérabilités dans le logiciel de gestion d’impression d’entreprise PrinterLogic offre aux attaquants une voie vers l’exécution de code à distance (RCE) sur tous les terminaux connectés, ont révélé des chercheurs en sécurité.

Tous ont reçu une note CVSS de 8,1, les failles de gravité élevée incluent l’injection d’objet (CVE-2021-42631), codée en dur APP_KEY (CVE-2021-42635) et les problèmes d’injection de commande (CVE-2021-42638).

Des chercheurs de The Paranoids, l’équipe de recherche sur les vulnérabilités de Yahoo, ont obtenu RCE sur le serveur de pile Web en abusant de la fonction d’installation d’imprimante en un seul clic de PrinterLogic.

Les bogues, découverts lors de recherches menées entre avril et juin 2021, ont été corrigés par le fournisseur de PrinterLogic, Vasion, dans la mise à jour de sécurité 19.1.1.13-SP10, publié le 21 janvier. Toutes les versions antérieures sont vulnérables.

La mise à jour corrige également une série de bogues de gravité moyenne et faible découverts par la branche de recherche sur la sécurité de Yahoo.

Retour sur investissement

Blaine Herro, chercheur en sécurité chez Yahoo, affirme que PrinterLogic constitue une cible d’attaque attrayante, en partie parce qu’il dispose d’un agent qui peut s’exécuter sur plusieurs ou tous les points de terminaison, et installer des composants sur ou configurer des points de terminaison avec des autorisations de niveau administrateur.

De plus, « le fournisseur publie une liste de clients, qui montre exactement quel est le retour sur investissement pour les attaquants », poursuit Herro dans un rédaction technique. « Si un attaquant trouve une vulnérabilité, [they can] compromettent largement plus de 140 organisations de premier plan.

Cependant, la gravité des vulnérabilités à portée de main est atténuée par les attaquants nécessitant une position réseau privilégiée via un VPN ou une vulnérabilité applicable dans une appliance à la périphérie, à l’exception des installations faisant face à Internet (qui s’applique à quelques environnements, dit Herro).

Injection d’objet PHP

Herro a détaillé un exploit qui commence par « un exemple assez classique » d’injection d’objet PHP non authentifié – une classe de bogues « historiquement » problématique dans les applications PHP, notamment ConcreteCMS, Magento et Moodle.

Une fois que le serveur est compromis et que l’accès permanent est sécurisé, les attaquants peuvent se déplacer latéralement vers des postes de travail arbitraires lorsque les utilisateurs effectuent une installation en un seul clic, ce qui invite le client du poste de travail PrinterLogic (PrinterInstallerClient) à extraire et à installer le package de pilotes approprié.

Herro explique comment contrôler le contenu d’un package de pilotes envoyé à un point de terminaison sous macOS et Linux ou Windows en manipulant la base de données, obtenant ainsi une écriture arbitraire du système de fichiers sur les points de terminaison connectés.

« Le bonus supplémentaire est que PrinterInstallerClient s’exécute en tant que root », ajoute-t-il.

Il existe « quelques options sur chaque plate-forme qui ne sont pas particulièrement difficiles » pour exécuter du code sur les terminaux qui reçoivent des packages de pilotes, explique le chercheur. Il explique comment le faire sur macOS en injectant un script parmi les scripts de maintenance planifiée exécutés par le service périodique.

Abuser des critères de portée

Insatisfaits de duper les marques potentielles en téléchargeant un pilote d’imprimante spécifique avec porte dérobée, les chercheurs ont découvert une fonctionnalité qui leur permettait de pousser les pilotes vers des points de terminaison arbitraires.

Plus précisément, les imprimantes peuvent être déployées sur des terminaux exécutant PrinterInstallerClient en fonction de critères de portée. Ce critère inclut les noms d’hôte, qui peuvent être spécifiés en tant que caractère générique, étendant ainsi l’imprimante à tous les points de terminaison qui sont des clients du serveur de pile Web.

Cela signifie que les attaquants peuvent atteindre RCE « sur tous les points de terminaison connectés qui sont des clients du serveur Web Stack, ou compromettre certains points de terminaison comme ils l’entendent, sans nécessiter d’interaction supplémentaire de l’utilisateur », explique Herro.

Il ajoute : « Au fur et à mesure que votre entreprise grandit, il est naturel de rechercher des produits d’entreprise qui simplifient la gestion des fonctionnalités clés utilisées par nombre de vos employés (dans ce cas, les imprimantes). Un sous-produit de la gestion centralisée, cependant, est le risque centralisé.

Commentaire

Un porte-parole de Vasion a déclaré : « Vasion Security a travaillé côte à côte avec The Paranoids, une équipe de sécurité de Verizon Media, pour publier les CVE mentionnés en janvier après la résolution de toutes les vulnérabilités.

« Alors que la découverte initiale des vulnérabilités était liée à notre plate-forme Web Stack, notre efforts de remédiation est allé au-delà pour inclure également l’appliance virtuelle PrinterLogic et le SaaS de PrinterLogic. Des mesures correctives ont déjà été appliquées au SaaS et sont désormais en ligne.

« Vasion tient à remercier l’équipe de recherche sur les paranoïaques de Verizon Media. Nous apprécions les clients avec un fort sentiment de sécurité, qui sont prêts à aider à renforcer nos offres de produits. »